Dynamiske IP-adresser kan være personoplysninger

Tilbage i 2011 afsagde EU-Domstolen dom i den berømte "Scarlet"-sag (C-70/10). Her afgjorde Domstolen, at en IP-adresse udgjorde en personoplysning, såfremt denne kunne anvendes til at identificere personen bag. Den pågældende sag vedrørte imidlertid en internetudbyders behandling af IP-adresser, og IP-adressens karakter som personoplysning blev fastslået, fordi internetudbydere selv ligger inde med andre oplysninger om personen, der i kombination med IP-adressen kan bruges til at identificere vedkommende.

INDEHAVERE AF HJEMMESIDER BERØRT

I den netop afsagte dom er der derimod tale om indehavere af hjemmesider, som indsamler de besøgendes IP-adresser. Den afgørende forskel i forhold til "Scarlet"-sagen er derfor, at det er en tredjemand (nemlig internetudbyderen), der ligger inde med de oplysninger, der er nødvendige for, at brugeren af IP-adressen kan identificeres. Domstolen kom frem til, at IP-adressen også i et sådant tilfælde vil være en personoplysning, hvis indehaveren af en hjemmeside lovligt kan bede internetudbyderen om at udlevere de oplysninger, der er nødvendige, for at brugeren af IP-adressen kan identificeres. Det er i den forbindelse ikke afgørende, om indehaveren af hjemmesiden i den konkrete situation vil få udleveret de pågældende oplysninger af internetudbyderen.

OMFATTET AF PERSONDATALOVGIVNINGEN

Dommens rækkevidde er som udgangspunkt begrænset til de ovenfor beskrevne omstændigheder, men kan uanset dette få vidtrækkende konsekvenser for indehavere af hjemmesider. Det blotte faktum, at man har mulighed for at henvende sig til en internetudbyder for at få de yderligere oplysninger, der skal til for at identificere brugeren af IP-adressen, medfører, at indehavere af hjemmesider skal forholde sig til persondatalovgivningen, hver gang de er i berøring med dynamiske IP-adresser.